漏洞关键信息 漏洞标题: Remote Administration of BEA WebLogic Server and Express 发布日期: 2003年3月18日 严重程度: 高 受影响系统: WebLogic Server and Express 6.0 WebLogic Server and Express 6.1 WebLogic Server and Express 7.0 漏洞描述: SPI Labs 和 S21sec 发现了一个严重的漏洞,此漏洞允许攻击者未经授权访问受影响的 Weblogic 服务器上的应用程序和系统。在 Weblogic 的默认配置中发现了多个未记录的应用程序,其中一些应用程序用于服务器之间的通信,包括内部维护和管理任务,如源代码分发和修改。进一步分析表明,许多这些应用程序对未经授权的使用保护不足,在某些情况下,执行管理功能不需要身份验证。这些未受保护的应用程序的存在构成严重威胁。如果攻击者可以直接访问 Weblogic 服务器,可以假定此漏洞最终会导致服务器上驻留的应用程序被攻击。 修复建议: SPI Labs 建议采取以下措施: 对于 WebLogic Server and Express 6.0: 升级到 Service Pack 2滚动补丁3,并按照说明应用包含的补丁。 对于 WebLogic Server and Express 6.1: 升级到 Service Pack 4,并按说明应用包含的补丁。 对于 WebLogic Server and Express 7.0(发布版本或 7.0.0.1):升级到 Service Pack 2,并按说明应用包含的补丁。 当 Service Pack 5 和 Service Pack 3 可用时,可以分别使用它们代替 Service Pack 4 和 Service Pack 2。 供应商信息: BEA 已经得知这个问题,并发布了上述补丁信息,详细信息见: http://dev2dev.bea.com/resourcelibrary/advisoriesnotifications/BEA03-28.jsp